From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mike@fly.osdn.org.ua>
Date: Sat, 10 Dec 2005 21:43:58 +0200
From: Michael Shigorin <mike@osdn.org.ua>
To: ALT Linux Community <community@lists.altlinux.org>
Subject: Re: [Comm] Re: =?koi8-r?B?8NLPwszFzdkg0yDC?=
	=?koi8-r?B?xdrP0MHTzs/T1NjAIMTJ09TSycLV1MnXz9c=?=
Message-ID: <20051210194358.GO20065@osdn.org.ua>
Mail-Followup-To: ALT Linux Community <community@lists.altlinux.org>
References: <ba4be29d0512100531s41063e97r@mail.gmail.com>
	<20051210152700.GW32150@osdn.org.ua>
	<ba4be29d0512101120l75297ebh@mail.gmail.com>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <ba4be29d0512101120l75297ebh@mail.gmail.com>
User-Agent: Mutt/1.4.2.1i
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: shigorin@gmail.com,
	ALT Linux Community <community@lists.altlinux.org>
List-Id: ALT Linux Community <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 10 Dec 2005 19:44:14 -0000
Archived-At: <http://lore.altlinux.org/community/20051210194358.GO20065@osdn.org.ua/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Sat, Dec 10, 2005 at 10:20:11PM +0300, Eugene Seppel wrote:
> > > Скажу более, ситуация с ошибкой 8294 из Багзиллы
> > > (выполнение произвольного кода из под другого пользователя
> > > путём изменения раскладки клавиатуры), когда ошибка не была
> > > исправлена в течении месяца, несмотря на скорый выход
> > > исправления в Mainstream так же недопустима.
> > Это как раз некритичная проблема.
> На сервере -- бесспорно.  Но только не в компьютерной
> лаборатории с IT-студентами как у меня:) Экзотический конечно
> случай.

Не экзотический, но ещё раз -- некритична.  Они точно так же
могут подсмотреть r00t passwd из-за плеча или правильным образом
загрузить линукс (если не "хакнув" незапароленный загрузчик,
то со своего livecd в случае наличия такой возможности).

(нет, я проверил и оно сработало; да, понимаю; но)

> По поводу всех приведённых Вами доводов о Microsoft -- примерно
> Ваши слова я и говорил дяденьке. Ну фанатик он. И его не
> переспорить.

Догадываюсь; здесь озвучил скорее для архива.

> Просто хочу сказать, что всем есть чему у неё поучиться. Хотя
> бы тому, как она учится на ошибках.

На этих они пока ничему толком не научились, боюсь.
Oh well.  Самим бы тут учиться, желательно на чужих.

> > Да, это один из главных доводов против ALT в коробках.
> > По крайней мере у меня.
> Но пользователям нужен дистр в коробках, ну или ОЕМ. Чтобы
> поставить на production server. А хакерам нужен Сизиф.
> Или, в настоящее время, ALT -- только для хакеров?

Боюсь, это скорее так.  Утверждать обратное буду рад, но сейчас 
с чистым сердцем не могу.  Возможно, даже в этом году ситуация
изменится, но сейчас -- скорее так.

> > ALTLinux не поддерживает исправления безопасности для contribs,
> > > но пользователь в системе по-умолчанию может поставить оттуда
> > > пакеты, так и не поняв, откуда  именно он поставил пакеты,
> > > почему этого нельзя делать и что он выкопал себе могилу.
> > Это лучше, чем не давать возможности устанавливать пакеты оттуда.
> > Если не догадаетесь, почему -- переспросите.
> Не догадался. По-моему всё-таки ставить пакеты от туда должен
> только тот, кто твёрдо понимает что делает.

Что делать остальным?  Воспользоваться совсем не поддерживаемыми
тарболами при возникновении нужды в программах?..

Я было подумал и согласился с Вами, потом ещё подумал и решил,
что всё-таки не соглашусь.  "Не так" -- лучше только для систем,
по которым SLA положено подписывать.

> Собственно вопрос -- по поводу работы пользователей над
> обновлениями: я правильно понимаю, что мы, как пользователи,
> должны присылать патчи для srpm?

Можете приложить руку такими способами:

- повешение багов по замеченным проблемам в bugzilla.altlinux.org;
- при желании и возможности добавление туда же [ссылок на] патчей
  (может сильно облегчить работу тому, кто будет её делать, или
  послужить стимулом выпустить обновление, на которое иначе бы
  не хватило энтузиазма);
- тестирование уже опубликованных в рамках backports обновлений,
  анонсированных в backports@ как имеющие отношение к безопасности;
- стать участником команды и принять непосредственное участие
  в процессе.

> Большое спасибо за комментарии.

Большое не за что... на самом деле не сильно весело, но когда
жизнь была лёгкой.  Боремся покамест, если продукт и сообщество
Вам интересней, чем в других местах -- welcome.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/